欢迎您访问我爱IT技术网,今天小编为你分享的电脑教程是建站经验系列之:【实践有效的网站防SQL注入方法(二)】,下面是详细的分享!
实践有效的网站防SQL注入方法(二)
姊妹篇“《实践有效的网站防SQL注入(一)》”跟大家交流了防止sql注入的黄金方法,从开发入手,在两个层次解决,我想如果大家按照介绍的步骤都能够做到,我想大家应该能够做到很好的防御效果。但我们说,没有100%的安全,网站的微小功能变动或升级都可能会对全局造成影响,这也就是为什么eesafe网站安全联盟收录的网站还是有部分存在注入漏洞,那么如何随时关注网站是否存在这样的安全问题?这就需要我们说的发掘,了解和掌握如何发掘像sql注入这样的网站漏洞。
不管你的网站采用的是什么构架,php+mysql或jsp+oracle等等,其实际注入发掘的步骤基本是统一的,都有很大的相似性。我简单介绍一下eesafe在帮助网站挖掘注入的基本方法。
1、判断脚本系统(也就是判断网站使用的是asp,php,jsp等)。
2、发现注入点,扫描注入漏洞(根据不同的脚本系统选择合适的扫描注入方式)。
3、特殊注入点的判断(有时候注入点的脚本系统过滤了一些特殊字符,这时候就需要做转移注入判断测试)。
4、判断数据库类型。(利用数据库的系统变量、系统表判断数据类型确定数据库是MSSQL,MYSQL还是ORACLE)
5、判断数据库中的表结构(判断数据库名称,库中表名称,表中字段名,表中数据)。
6、判断数据库表中字段的结构(使用猜解方式或读取方式判断表中字段结构)
7、构造注入语句进行注入(构造特定注入语句获取重要数据,如尝试管理员账户或密码)
这六部大致上就是一般的发掘步骤,在实际操作过程中可能会根据情况不同有细微的变化。最后,将通过6部验证的注入点提供给请求帮助的网站,供修补注入漏洞。大家可以将我们使用的挖掘注入的流程应用到自己的网站上做一个全面sql注入点发掘,当然,大家也可以用eesafe网站安全联盟提供的在线检测工具。希望这篇和上篇“《实践有效的网站防SQL注入(一)》”能给大家带来帮助。
原创文章,纯手打,
以上所分享的是关于实践有效的网站防SQL注入方法(二),下面是编辑为你推荐的有价值的用户互动:
相关问题:T-SQL篇如何防止SQL注入的解决方法(2)
答:/// ///SqlInject 的摘要说明 /// public class SqlInject : System.Web.UI.Page { //检测到注入后的处理方式: 0:仅警告;1:警告+记录;2:警告+自定义错误页面;3:警告+记录+自定义错误页面 private const int _type = 0; private const stri... >>详细
相关问题:什么是SQL注入,如何防止SQL注入?
答:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入... >>详细
相关问题:怎样可以是网站更好防止SQL注入式攻击
答:最好的方法是用存储过程来完成数据库结构其他方法就只能在程序中添加防注入程序 >>详细
- 评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
-